reversinglabs yara rules

¡Bienvenido al repositorio oficial de Reglas de Yara ReversingLabs! El repositorio se actualizará continuamente, a medida que desarrollamos reglas para nuevas amenazas, y después de que su calidad se haya demostrado mediante pruebas en nuestras nubes y otros entornos.

Estas reglas han sido escritas por nuestros analistas de amenazas, para cazadores de amenazas, respondedores de incidentes, analistas de seguridad y otros defensores que podrían beneficiarse de desplegar reglas de Yara de detección de amenazas de alta calidad en su entorno.

Nuestras reglas de detección, a diferencia de las reglas de caza, necesitan satisfacer ciertos criterios para ser elegibles para el despliegue, a saber:

• ser lo más preciso posible, sin perder la calidad de detección
• Su objetivo a proporcionar cero detecciones falsas positivas

Para que las reglas sean fáciles de entender y mantener, adoptamos el siguiente conjunto de objetivos:

• Patrones de byte claramente llamados
• condiciones legibles y transparentes
• coincidir con la funcionalidad de malware única
• preferir los patrones de byte de código sobre las cuerdas

Para garantizar la calidad de nuestras reglas, las probamos continuamente y ampliamente en nuestra nube, en más de 10b (y en ascenso) binarios únicos. Las reglas se evalúan en cada capa para detectar amenazas dentro de los objetos en capas, como archivos, documentos y archivos empacados, entre otras cosas.

Para ejecutar con éxito todo el conjunto de reglas de Yara, debe tener:

• Versión de Yara> = 3.2.0
• Módulos PE y ELF habilitados

(o cualquier otra solución de seguridad que cumpla con los requisitos).

Para comenzar a usar nuestras reglas, simplemente clone este repositorio y comience a experimentar en sus conjuntos de datos. Las reglas de Yara que se encuentran en este repositorio se pueden usar en varios entornos, y la configuración más simple es usarlas a través del ejecutable independiente de Yara, que se puede encontrar en el repositorio oficial de Yara. Las reglas también se pueden implementar en una gran cantidad de soluciones de seguridad modernas que ofrecen integración de Yara, como Sandboxes habilitados para Yara y otros marcos de análisis de archivos. Sin embargo, para obtener los mejores resultados, es aconsejable utilizar las reglas a través de la plataforma de titanio de ReversingLabs que ofrece la integración nativa de estas reglas en su tubería de clasificación.

Este proyecto tiene licencia bajo la licencia MIT; consulte el archivo de licencia para obtener más detalles.

Gracias a todas las personas que participan activamente en el desarrollo del motor Yara; sin usted, estas reglas no serían posibles. Además, nos gustaría agradecer a todos los que participan en la comunidad de Yara, porque evolucionan la forma en que se usa Yara, mejoran cómo deben escribirse las reglas y son lo que hace que nuestro trabajo valga la pena.